ログ保管における「現場の悩み」
企業のセキュリティ運用では、日々さまざまなログが生成されます。
これらのログは、普段から頻繁に参照するものばかりではありませんが、監査や障害調査、インシデント発生時には重要な証跡となります。
しかし、必要な期間だけログを保持したいというニーズに対して、既存の保管手段は必ずしも最適とは限りません。たとえば、メーカーの長期保管オプションを利用する場合、運用はシンプルになる一方で、保管期間に応じてコストが増加しやすくなります。また、SIEMなどにログを集約する場合も、追加ライセンスや保存先ストレージの確保が必要となり、継続的な費用負担が発生します。
そのため、企業によっては、
- できるだけコストを抑えてログを残したい
- 社内規程で定められた期間だけ保管できればよい
- 普段は参照しないが、有事の際に確認できる状態にしておきたい
といった要件に合う、より現実的なログ保管方法が求められています。
Netskope運用でも求められる「必要十分な保管」の考え方
SASE(Secure Access Service Edge)製品であるNetskopeの導入により、インターネットアクセスにおけるセキュリティ基盤の強化が可能になりました。しかし、すべてのログを長期間、常に検索しやすい形で保持し続けるのは理想的ではあるものの、コスト増大の大きな要因となります。
このジレンマを解決するカギは、「普段から分析・監視するためのログ」と、「監査や有事の調査のために取っておくログ」を分けて考えることです。
Netskopeの標準機能やSIEMを用いたログの集約は、リアルタイムな分析に有効ですが、めったに参照しない“保険としてのログ”までこうした高価なシステムに置き続ける必要はありません。
「社内規程を満たすための長期保管」や「いざという時の事後確認」といった要件に対しては、高機能な分析基盤にすべてを預けるのではなく、シンプルで安価な環境に退避させておくのが最適解です。ログ保管においては「高機能であること」以上に、必要な期間・必要な形で、無理なく保持し続けられる「必要十分な保管」の仕組みが重要です。
LogBridge for Netskopeとは
LogBridge for Netskopeは、NetskopeのイベントログをAPI経由で取得し、ローカル環境へバックアップ保存できるクライアントアプリケーション(CUIツール)です。
取得したログは、NDJSON形式で各種イベントログ(アプリケーション、ネットワーク、アラート等)ごとに保存できるため、社内環境でシンプルに管理しやすく、必要に応じた確認や二次活用にも対応しやすい構成です。
LogBridge for Netskopeを使うことで「現場の悩み」を解決できます。
課題解決①:大幅なコスト削減
メーカーの長期保管オプションや外部のSIEMライセンスを拡張することなく、自社で用意した安価なストレージにログを退避できるため、長期保管にかかるランニングコストを最適化できます。特に、弊社でも取り扱いのあるBoxのような容量無制限のクラウドストレージと相性が良いです。
課題解決②:社内規程に合わせた確実な保管
定期的に自動でログを取得・蓄積するため、社内規程で定められた「1年間」「3年間」といった指定期間のログを、日々の運用負荷をかけることなく保持し続けることが可能です。
課題解決③:有事の際も安心なデータ形式
取得したログは汎用性の高い「NDJSON形式」で、アプリケーションやネットワーク、アラートなどのイベントごとに整理されて保存されます。そのため、いざインシデントが発生した際にも、必要なログを素早く検索したり、別の分析ツールに読み込ませて二次活用したりと、スムーズな調査・対応が可能です。
おわりに
Netskopeを活用したセキュリティ運用において、ログの取得・保管は重要なテーマです。一方で、すべてを高コストな仕組みでまかなうのではなく、利用実態や必要要件に応じて、必要十分な保管方法を選択することも現実的な運用には欠かせません。
LogBridge for Netskopeは、Netskopeログを必要な期間だけ、低コストかつシンプルに保存したいというニーズに応えるツールです。
丸紅ITソリューションズは、「LogBridge for Netskope」の提供を通じて、企業のログ保管・バックアップ運用の最適化を支援し、効率的で持続可能なセキュリティ運用の実現に貢献します。
クラウド時代のセキュリティを革新するSSEリーダー。クラウドアプリ、Web、プライベートアプリへのアクセスを安全に実現。データ保護、脅威対策、ゼロトラストを統合。ビジネスの俊敏性と安全性を両立。
